Jakiś czas temu pewien badacz zabezpieczeń przesłał Valve raport o podatności w Steam. Odrzuciła go zarówno firma Valve, jak i później platforma HackerOne. Badacz zastosował wówczas powszechną praktykę, tj. 45 dni od zgłoszenia udostępnił publicznie wszelkie informacje o podatności, która naraża 72 miliony graczy na Windows 10. Valve dopiero teraz przyznaje, że postąpiło lekkomyślnie.
Raport Wasilija Krawetsa, znanego też jako "Windows Privilege Escalator", zakwalifikowano jako będący "poza zasięgiem" programu tropienia błędów, a także odrzucono z uwagi na pewne braki. Valve przyznaje jednak, że niewłaściwa jego ocena była błędem. Firma wydała w tej sprawie oświadczenie:
Jesteśmy świadomi, że badacz, który odkrył te bugi, został błędnie zawrócony przez program tropienia błędów HackerOne, gdzie jego raport został zaklasyfikowany jako będący poza zasięgiem. To był błąd.
Zasady naszego programu HackerOne miały wykluczać jedynie raporty uwzględniające uruchamianie przez Steam złośliwego oprogramowania uprzednio zainstalowanego na maszynie użytkownika jako lokalny użytkownik. Zamiast tego zła interpretacja zasad doprowadziła też do wykluczenia poważniejszego ataku, który również wykonywał lokalną eskalację uprawnień poprzez Steam.
Zaktualizowaliśmy zasady naszego programu HackerOne, by wyraźnie zaznaczyć, że problemy te leżą w zasięgu [zainteresowań programu] i powinny być zgłaszane. W ciągu ostatnich 2 lat współpracowaliśmy i nagrodziliśmy 263 badaczy zabezpieczeń, wypłacając ponad 675.000 dolarów nagród. Mamy nadzieję na dalszą pracę ze społecznością bezpieczeństwa, by udoskonalać ochronę naszych produktów poprzez program HackerOne.
Jeśli chodzi o konkretnych badaczy, przeglądamy szczegóły każdej sytuacji, by ustalić odpowiednie działania. Nie zamierzamy teraz dyskutować o szczegółach konkretnych sytuacji czy ich statusie.
— Valve
Oryginalne raporty Krawetsa opisywały dwie pojedyncze podatności w Steam, które dawały hakerom dostęp do wcześniej przejętego systemu. Tego samego dnia, w którym Valve wydało oświadczenie, Krawets powiedział redakcji Ars Technica, że ze strony Valve nie nadeszła do niego żadna wiadomość i że nadal pozostaje zablokowany w sekcji zgłaszania błędów Valve w HackerOne.
341f31d.png)